FireHunter6000沙箱技术白皮书文档格式.docx
《FireHunter6000沙箱技术白皮书文档格式.docx》由会员分享,可在线阅读,更多相关《FireHunter6000沙箱技术白皮书文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
下面我们以2015年12月乌克兰电网遭受的APT攻击为例,介绍一下一个典型的APT
攻击过程:
图1-1乌克兰电网受到的APT攻击过程
在乌克兰电网遭受的这次APT攻击中,攻击者首先伪造来自国会的邮件进行渗透,邮件附件有一个恶意office文档,办公区的员工打开文档运行恶意宏,会将恶意软件植入到办公区的主机中。
恶意软件与外部的C&
C服务器建立C&
C通信,并且通过员工的VPN权限访问到机房的SCADA控制主机。
攻击者利用SSH的漏洞,在机房SCADA控制主机的SSHServer添加了一个固定密码,为攻击留下后门。
攻击者通过C&
C通道,登陆办公区员工主机,通过员工的VPN连接到机房的控制主机,通过SSH对机房的控制主机进行操作,发出打开电闸的命令,造成乌克兰多个地区的断电,之后擦除证据、破坏系统。
同时对乌克兰电网的呼叫中心发起DDoS电话攻击,最终达成停电长达数小时,整个乌克兰社会混乱的局面。
这次攻击点完全是通过恶意代码针对PC主机环节的渗透和植入达成的,造成了及其恶劣的社会和政治影响。
对于APT攻击我们需要高度重视,正如看似固若金汤的马奇诺防线,德军只是改变的作战策略,法国人的整条防线便沦落成摆设,至于APT攻击,任何疏忽大意都可能为信息系统带来灾难性的破坏。
相信您迫切想了解传统的网络犯罪集团与APT攻击行为到底有哪些异同,下面的表格或许能让您找到答案。
图1-2传统威胁和APT威胁的区别
不难看出APT攻击更像一支配备了精良武器的特种部队,这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙、防病毒软件等安全防御体系失去应有的防御能力。
无论是0day或者精心构造的恶意程序,传统的基于特征库的被动防御体系都无法抵御定向攻击的入侵。
1.2APT下一代威胁发展趋势
典型的APT攻击,通常会通过如下途径入侵到您的网络当中:
●通过SQL注入等攻击手段突破面向外网的WebServer、邮件服务器等服务器,然后以被入侵的服务器做跳板,对内网的其他服务器或桌面终端进行扫描,并为进一步入侵做准备;
●通过给高层主管邮件,发送带有恶意程序的附件,诱骗员工点击并入侵内网终端。
●通过熟人给企业内部的员工发送具有针对性的恶意链接,诱骗用户访问这个链接之后并入侵内网终端。
●通过连接到Internet主机将恶意软件通过U盘摆渡到隔离网络,从而入侵到隔离网络实现攻击。
一旦用户被植入恶意软件,如木马、后门、Downloader等,恶意软件会在内网建立与外网的CC通信,并持续回收集敏感文件(WORD、PPT、PDF、CAD文件等),通过隐蔽通道回传到攻击者手中。
图1-3典型APT威胁攻击流程
以APT为代表的下一代威胁,综合利用AET、0-DAY漏洞、社交工程等多种高级技术手段,主要的攻击目标为高价值行业及涉及国家国计民生的基础设施(能源、金融、电信、交通等),存在攻击手段复杂、潜伏时间较长、检测难度较高等特点,一旦爆发,轻则造成公司商业机密泄漏威胁公司生存、重则造成公司或者整个行业瘫痪,甚至可以说以APT为代表的下一代威胁已经初具网络战雏形,兵者,国之大事,死生之地,存亡之道,不可不察。
1.3用户现网现状分析
用户已经通过部署专业的防火墙、IPS、防病毒软件、终端安全软件等安全防护手段,能够针对主流威胁实现防护。
然而基于特征检测的传统安全防御手段只能识别已知威胁,且存在应对快速演进的威胁滞后之间较长的弱点,另外以APT(AdvancedPersistentThreat)为代表的下一代威胁使得传统的“依靠特征检测的方法”失效,如何应对以APT为代表的下一代威胁成为所有企业的必修课之一。
2安全防护解决方案
如1图2-1给出了APT的攻击链,以及对于攻击链上各个阶段的防护措施。
如图所示:
APT攻击链包括前期引诱、渗透、安装后门、建立CC通道、横向移动、窃取机密几个阶段。
其中渗透、安装后门以及建立cc通道是攻击者最费心费力,通过技术手段突破安全防线,进入目标网络的内部,并构筑窃控制及窃取机密的通道,为最终发起攻击做好准备。
华为自研的FireHunter(简称FireHunter)凭借先进的技术能力,能够分别在APT攻击的渗透阶段、安装后门阶段以及建立cc通道阶段识别攻击,让APT攻击“现形”,帮助客户识别APT攻击,进一步清除、阻断APT攻击。
在渗透阶段,攻击者诱使目标对象的员工访问恶意网站、或者将恶意文件发布到网站上,或者是目标对象的员工发送带有恶意链接或者是恶意文件的邮件,通过内部员工的访问网站、收邮件或者下载文件时,将恶意文件渗透进内网。
FireHunter提供的文件检测功能,采用创新的静态分析、启发式检测及虚拟执行三层检测技术,组合创新性的恶意行为分析技术,有效的弥补了传统的基于特征检测技术的弱点,从而可以高效的检测恶意软件,在APT的渗透及安装后门阶段对攻击进行识别。
成功渗透后,攻击者会进一步建立CC通道,以对内网设备进行控制,发布命令,控制内网设备提供想要的服务。
FireHunter提供了CC检测技术,不仅仅有传统的基于特征的识别已知的CC攻击,并且还有基于机器学习以及华为自研算法的DGA恶意域名的识别能力,有效识别通过请求及访问DGA恶意域名发起的CC攻击进行识别。
图2-1APT攻击链及防护链
2.2文件检测技术原理
如图2-1所示:
APT攻击链包括前期引诱、渗透、安装后门、建立CC通道、窃取机密几个阶段。
渗透阶段是APT攻击链中最关键的一环,只有成功渗透了,才有可能进一步实施后面的攻击。
而文件检测技术能有效地在渗透阶段、安装后门阶段对恶意软件进行检测,能有效地检出未知威胁,这是传统的安全产品无法做到的。
图2-2文件检测技术原理
文件检测经过信誉查询、第三方AV检测、静态检测引擎检测、机器学习引擎检测、CC检测引擎检测、沙箱检测引擎检测,最终在威胁分析引擎进行对各个检测结果进行关联、联合分析和威胁判定,最终给出威胁检测结果。
其中,沙箱检测引擎,又包括了web启发式引擎、PDF启发式引擎、PE启发式引擎和虚拟执行环境引擎。
下面重点对各部分进行介绍:
1.静态检测引擎
−支持Office文件,图片文件,SWF文件的深度解码。
−文件数据格式异常分析。
−解析宏脚本、VB脚本并分析恶意行为。
−逃避检测的混淆数据分析。
−Shellcode代码检测。
−病毒家族特征匹配。
2.机器学习引擎
−静态机器学习引擎,就是利用随机森林,支持向量机等算法,将大量从恶意样本和白样本中提取的静态数据进行训练学习,从而建立学习模型,并使用学习模型对未知的样本进行判断分类。
−动态机器学习引擎,就是利用随机森林,神经网络等算法,将大量从恶意样本和白样本运行过程中监控到的主机和网络行为进行训练学习,从而建立学习模型,并使用学习模型对未知的样本进行判断分类。
3.CC检测引擎
−对样本产生的上网行为进行CC检测,CC检测包括基于特征的远程访问工具检测和DGA域名检测。
详述见2.3节。
4.PE启发式引擎
−软件模拟操作系统环境,模拟CPU指令和API调用。
−监控软件运行的指令流和API调用流。
−通过反汇编指令、API调用及参数,与病毒家族特有的静态指令、API调用特征进行匹配,进行静态分析。
−模拟执行文件,监控威胁行为,与病毒家族特有的行为及行为序列进行匹配。
−文件格式、文件属性异常分析。
5.WEB启发式引擎
−沙箱内部模拟了IE浏览器环境,对页面彻底去除混淆。
−通过机器学习,对web文件进行分类。
−对浏览过程中产生的二进制内容进行Shellcode检测。
−实时检测页面执行过程中的各种危险行为。
−实时分析页面执行过程中是否有出现了POC溢出代码。
6.PDF启发式引擎
−沙箱内部模拟了PDF文档解析器环境。
−充分执行文档内部的脚本代码。
−实时分析脚本执行过程中是否出现POC溢出代码。
7.静态沙箱
8.使用虚拟化技术的重量级深度检测引擎
−利用虚拟化技术构建操作系统环境以及各种软件环境。
−让待检测文档、可执行程序在该环境中充分运行。
−实时分析可执行程序以及文档在运行过程中的行为和参数信息。
−支持多种抗逃逸躲避检测技术,如虚拟机环境监察、延时对抗等。
9.使用虚拟层监控技术
−在hypervisor层对虚拟机内的行为进行透明监控。
−更丰富更直观的恶意行为展示。
2.3CC检测技术原理
在APT攻击链中,如果将引诱用户、渗透系统比喻成撒大网,那么建立CC通道就是准备收网阶段。
虽然APT攻击所使用的恶意软件变种多且升级频繁,但恶意软件所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT的命令控制通道。
该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。
另外,使用随机域名生成算法DGA生成域名并注册,诱使用户访问恶意网站,从而植入木马,达到建立CC通道的目的,这种攻击手段也是近年来常见的攻击方式。
FireHunter提供了两类CC检测技术,一种是基于远控工具特征的CC检测;
一种是DGA
恶意域名检测。
1.基于远控工具特征的CC检测
−基于特征的传统的检测方法。
−从流信息中提取特征,与远程工具特征进行比对。
2.DGA恶意域名检测
DGA恶意域名检测利用机器学习技术及特定的算法进行检测,具体流程见图2.4。
主要包括如下几步:
−根据流量信息提取域名特征,利用样本训练生成分类器。
−当有新的流量时,提取域名相关特征送入分类器,分类器字段判定此域名是否正常。
−根据分类器的检测结果,套装训练参数、特征格式,使得分类器更加准确。
图2-3DGA检测原理
2.4典型应用场景
2.4.1旁路独立部署
图2-4FireHunter独立部署
独立部署时,FireHunter的镜像口与交换机或者其他网关的镜像口直连,由交换机或者其他网关设备将待检测的网络流量通过镜像口镜像给FireHunter。
FireHunter接收镜像的网络流量,自行进行流量还原,对流量进行CC检测,同时提取流量中的文件进行检测,CC检测结果以及文件检测结果都能够在FireHunter自身的WebUI上进行展示。
用户还可以通过webUI查询恶意文件的检测结果报告以及恶意文件及其威胁分析相关文件及证据。
2.4.2与华为防火墙(简称FW)联合部署
图2-5FireHunter与FW联合部署
在FireHunter与FW联合部署的场景,首先要保证FireHunter的业务口,即联动接口路由可达。
网络流量经过FW,FW从网络流量中提取文件,将待检测文件通过联动协议发送给FireHunter。
FireHunter收到文件后进行检测,FW通过联动接口查找所提交文件的检测结果。
在这种场景下,FW可以提供文件检测日志,而FireHunter自身的WebUI除了展示检测日志外,还可以提供恶意文件的检测结果报告的查看,并且能够进一步查看到恶意文件以及其威胁分析相关文件及证据。
FireHunter的联动接口是restful接口,作为该场景的扩充该接口可以对外开放,其它设备可以针对该接口开发联动客户端向FireHunter提交文件进行检测。
2.4.3与华为大数据安全产品CIS联动部署
图2-6FireHunter与CIS联动部署
FireHuner与CIS联动部署时,同样要保证沙箱联动口能路由可达。
在这种场景下,CIS的流探针接收网络镜像流量,对流量进行还原,提取网络中的文件,通过FireHunter联动协议发送给FireHunter,FireHunter收到文件后进行文件检测,将检测日志发送给CIS的采集器进行处理。
在这种场景下,FireHuner自身的webUI除检测日志外,同样也提供恶意文件的检测报告,以及恶意文件及其威胁行为分析相关文件及证据。
2.4.4与FW、CIS基础版联动部署
图2-7FireHunter与FW、CIS基础版联动部署
在这种场景下,首先,保证FireHunter业务口路由可达。
网络流量经过FW,FW对网络流量进行还原并提取文件,将文件发送给FireHunter进行检测。
FW从FireHunter查询检测结果,依据检测结果生成安全策略,对带有已检测文件的网络流量进行阻断或者放行,同时生成检测日志,发送给CIS基础版进行展示,并呈现全网安全态势。
同样,在这种场景下,FireHunter的webUI能够提供恶意文件的检测结果报告以及能够查询到恶意文件以及其威胁行为分析相关文件及证据。
3产品特性
3.1全面的流量检测
同时提供独立的流量还原能力,可以识别主流的网络协议HTTP、SMTP、POP3、IMAP、FTP、NFS、SMB,从而确保识别所有通过网络传输的文件。
3.2支持主流应用和文档
FireHunter可以针对主流的应用软件及文档实现检测、分析,支持Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG、chm、swf、可执行脚本文件、媒体文件、LNK文件、压缩文件等软件及文档。
3.3模拟主流的操作系统和应用软件
FireHunter可以模拟WindowsXP/7/10操作系统,可以模拟InternetExplorer6/7/8/9/10/11、Chrome等浏览器,可以模拟Office2003/2007/2010/2013办公软件,可以模拟AdobeReader8/9/X/XI等PDF阅读器。
3.4分层的检测体系
FireHunter的检测手段丰富全面,从层次上可以分为:
信誉查找,AV检测,静态分析,机器学习,CC检测,启发式检测和虚拟环境动态检测,从而提高针对以APT为代表的下一代威胁的检测能力,并提供下一代威胁的所有危险点分析清单,让客户对威胁的攻击过程、攻击目标一目了然。
3.5提供准实时的处理能力
FireHunter提供接近实时的处理能力,有效的将对下一代威胁的检测的响应时间从几周降到秒级,并与下一代防火墙配合实现在线防御能力。
3.6提供一流的针对APT威胁的反躲避能力
FireHunter针对APT威胁的各种躲避手段,提供了相应的能力来反逃逸,包括:
反虚拟机探测技术逃逸的能力、反用户交互的逃逸手段的能力以及反延迟执行逃逸的能力。
3.7强大的CC检测能力
FireHunter既支持传统的基于特征的CC攻击检测,又支持基于机器学习以及特定算法的DGA恶意域名检测,有效地检测CC攻击。
4产品规格
功能项
指标要求
检测文件类型
支持Windows可执行文件APT未知威胁检测
支持Office文档APT未知威胁检测
支持PDF文档APT未知威胁检测
支持Web页面APT未知威胁检测
支持Images图片APT未知威胁检测
支持Flash/SWF文件APT未知威胁检测
支持JavaApplet文件APT未知威胁检测
支持WPS文档APT未知威胁检测
支持压缩文件检测
支持可执行脚本类文件检测
支持媒体文件检测
支持LNK文件检测
支持CHM文件检测
信誉和黑白名单
支持黑白名单
支持信誉
URL检测
支持URL检测
联网检测
支持模拟联网检测
支持实际联网检测
CC检测
支持基于远控工具特征的CC检测
支持恶意域名访问的CC检测
防躲避
支持时间判定防躲避
支持交互执行防躲避
支持虚拟机探测防躲避
流量还原支持的协议
(独立部署,流量直送FireHunter时)
二层协议:
VLAN,PPPoE
三、四层协议:
IPv4、TCP、UDP、ICMP、GRE
应用层协议:
HTTP、SMTP、POP3、IMAP、FTP、NFS、SMB
沙箱环境支持
支持WindowsXP/Windows7/Windows10等操作系统
支持IE6/7/8/9/10/11浏览器
支持AdobeReader8/9/X/XI
支持Office2003/2007/2010/2013
性能
FireHunter630010万个文件每天
FireHunter62005万个文件每天
FireHunter61001万个文件每天
管理
支持通过WebUI实现管理
支持告警及综合分析报告的邮件发送
部署方式
支持与华为防火墙、CIS产品联动部署
支持直接接收镜像流量的旁路部署方式
5硬件配置
型号
FireHunter6300
网口
8个千兆电口
2个10GE光纤接口(可选)
硬盘
SATA2TB*4(RAID10)SATA2TB*2(RAID1)
SSD
200GB*2(RAID1)
处理性能
10万文件/天
电源
冗余电源,交流
尺寸规格
86.1mm(2U)×
447mm×
748mm
FireHunter6200
SATA2TB*2(RAID1)SATA2TB*2(RAID1)
200GB
5万文件/天
FireHunter6100
SATA2TB*2(RAID0)SATA2TB
1万文件/天